【教学课件】第10章网络管理与网络安全.ppt
《【教学课件】第10章网络管理与网络安全.ppt》由会员分享,可在线阅读,更多相关《【教学课件】第10章网络管理与网络安全.ppt(113页珍藏版)》请在三一办公上搜索。
1、10章 网络管理与网络安全,第10章 网络管理与网络安全,本章主要内容:计算机网络安全的基础知识、网络安全立法、黑客攻击的主要手段和网络安全控制技术、Windows 2003安全配置技术、网络管理和维护技术。重点及难点:系统升级和漏洞修补、Windows防火墙、安全配置向导、微软基准安全分析器、网络管理的概念、远程桌面配置和应用、网络故障诊断与排除、TCP/IP诊断命令。,10章 网络管理与网络安全,第10章 网络管理与网络安全,10.1 网络安全基础知识10.2 网络安全立法10.3 黑客攻击的主要手段和网络安全控制技术104 Windows 2003安全配置技术 10.5网络管理技术,Re
2、turn,10章 网络管理与网络安全,10.1.1 网络安全基本概念 随着计算机网络的迅猛发展,网络安全已成为网络发展中的一个重要课题。由于网络传播信息快捷,隐蔽性强,在网络上难以识别用户的真实身份,网络犯罪、黑客攻击、有害信息传播等方面的问题日趋严重。,10.1 网络安全基础知识,10章 网络管理与网络安全,从概念上来看,网络和安全是根本矛盾的。网络的设计目的是尽可能地实现一台计算机的开放性,而安全则要尽可能地实现一台计算机的封闭性。因此,在现实中,计算机网络的安全性,实际上是在二者中寻找到一个平衡点,一个可以让所有用户都可能接受的平衡点。从这个意义上讲,网络安全是一个无穷无尽的主题。在计算
3、机网络领域,没有终极的安全方案。,10章 网络管理与网络安全,网络安全包括5个基本要素:机密性、完整性、可用性、可控性与可审查性。(1)机密性,确保信息不暴露给未授权的实体或进程。(2)完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。(3)可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。(4)可控性:可以控制授权范围内的信息流向及行为方式。(5)可审查性:对出现的网络安全问题提供调查的依据和手段。,10章 网络管理与网络安全,10.1.2 网络安全评价标准,网络安全评价标准中比较流行的是美国国防部1995年制定的可信任计算机标准评价
4、准则,各国根据自己的国情也制定了相关标准。,10章 网络管理与网络安全,(1)我国评价标准1999年10月经过国家质量技术监督局批准发布的计算机信息系统安全保护等级划分准则将计算机安全保护划分为以下5个级别。第l级为用户自主保护级:它的安全保护机制使用户具备自主安全保护的能力,保护用户的信息免受非法的读写破坏。第2级为系统审计保护级:除具备第一级所有的安全保护功能外,要求创建和维护访问的审计跟踪记录,使所有的用户对自己的行为的合法性负责。,10章 网络管理与网络安全,第3级为安全标记保护级:除继承前一个级别的安全功能外,还要求以访问对象标记的安全级别限制访问者的访问权限,实现对访问对象的强制保
5、护。第4级为结构化保护级:在继承前面安全级别安全功能的墓础上,将安全保护机制划分为关键部分和非关键部分,对关键部分直接控制访问者对访问对象的存取,从而加强系统的抗渗透能力。第5级为访问验证保护级:这一个级别特别增设了访问验证功能,负责仲裁访问者对访问对象的所有访问活动。,10章 网络管理与网络安全,我国是国际标准化组织的成员国,信息安全标准化工作在各方面的努力下正在积极开展之中。从20世纪80年代中期开始,自主制定和采用了一批相应的信息安全标准。但是,应该承认,标准的制定需要较为广泛的应用经验和较为深入的研究背景。这两方面的差距,使我国的信息安全标准化工作与国际已有的工作相比,覆盖的范围还不够
6、大,宏观和微观的指导作用也有待进一步提高。,10章 网络管理与网络安全,(2)国际评价标准根据美国国防部和国家标准局的可信计算机系统评测标准可将系统分成4类共7级:D级:级别最低,保护措施少,没有安全功能:属于这个级别的操作系统有DOS和Windows 9x等。C级:自定义保护级。安全特点是系统的对象可由系统的主题自定义访问权。C1级:自主安全保护级,能够实现对用户和数据的分离,进行自主存取控制数据保护以用户组为单位;,10章 网络管理与网络安全,C2级:受控访问级,实现了更细粒度的自主访问控制,通过登录规程安全性相关事件以隔离资源。能够达到C2级别的常见操作系统有如下几种(1)Unix/Li
7、nux系统:(2)Novell 3X或者更高版本;(3)WindowsNT,Windows2000和Windows2003。,10章 网络管理与网络安全,B级:强制式保护级。其安全特点在于由系统强制的安全保护。B1级:标记安全保护级。对系统的数据进行标记,并对标记的主体和客体实施强制存取控制;B2级:结构化安全保护级。建立形式化的安全策略模型,并对系统内的所有主体和客体实施自主访问和强制访问控制;B3级:安全域。能够满足访问监控器的要求,提供系统恢复过程。A级:可验证的保护。A1级:与B3级类似,但拥有正式的分析及数学方法。,10章 网络管理与网络安全,10.1.3 网络安全的意义,目前研究网
8、络安全已经不只为了信息和数据的安全性,网络安全已经渗透到国家的经济,军事等领域。1.网络安全与政治 目前我国政府上网已经大规模地发展起来,电子政务工程已经在全国启动并在北京试点,政府网络的安全直接代表了国家的形象。1999年到2001年,我国一些政府网站遭受了4次大的黑客攻击事件。,10章 网络管理与网络安全,第1次在1999午1月份左右,美国黑客组织“美国地下军团”联合了波兰组织及其他的黑客组织,有组织地对我国的政府网站进行了攻击。第2次是在1999年7月,台湾李登辉提出两国论的时候。第3次是在2000年,月8号,美国轰炸我国驻南联盟大使馆后。第4次是在2001年4月到5月,美国战机撞毁王伟
9、战机并侵入我国海南机场后。,10章 网络管理与网络安全,2.网络安全与经济 我国计算机犯罪的增长速度超过了传统的犯罪,1997年20多起,1998年142起,1999年908起,2000年上半年1420起,再后来就没有办法统计了。利用计算机实施金融犯罪已经津透到了我国金融行业的各项业务近几年已经破获和掌握的犯罪案件100多起,涉及的金额达几十个亿。,10章 网络管理与网络安全,2000年2月黑客攻击的浪潮,是互联网问世以来最为严重的黑客事件。1999年4月26日,台湾人编制的CIH病毒的大爆发,据统计,我国受其影响的PC机总量达36万台之多。有人估计在这次事件中,经济损失高达12亿元。1996
10、年4月16日,美国金融时报报道,接入Intemet的计算机,达到了平均每20秒钟被黑客成功地入侵一次的新圮录。,10章 网络管理与网络安全,3.网络安全与社会稳定 互联网上散布的虚假信息、有害信息对社会管理秩序造成的危害,要比现实社会中一个谣言大得多。1999年4月,河南商都热线的一个BBS上,一张说交通银行郑州支行行长携巨款外逃的帖子,造成了社会的动荡,三天十万人上街排队,一天提款十多亿。2001年2月8日正是春节期间,新浪网遭受攻击,电子邮件服务器瘫痪了18个小时,造成了几百万用户无法正常联络。,10章 网络管理与网络安全,4.网络安全与军事 在第二次世界大战中,美国破译了日本人的密码,几
11、乎全歼山本五十六的舰队,重创日本海军。目前的军事战争更是信息化战争,下面是美国三位知名人士对目前网络的描述。美国著名未来学家阿尔温托尔勒说过“掌握了信息,控制了网络,谁将拥有整个世界”。美国前总统克林顿说过“今后的时代,控制世界的国家将不是靠军事,而是靠信息能力走在前面的国家”。美国前陆军参谋长沙利文上将说过“信息时代的出现,将从根本上改变战争的进行方式”。,10章 网络管理与网络安全,10.2 网络安全立法,10.2.1 网络安全立法概述 人们的阅读、交流、娱乐乃至商业活动越来越多地在网上进行,世界被网络紧紧地连在了一起。可是,网络世界也有黑暗的一面,那就是网络犯罪。面对日益增多的网络犯罪,
12、为了有效打击网络犯罪,制定相关的法律法规,成为遏制网络犯罪的有力武器,为此世界各国都制定了相关的法律。,10章 网络管理与网络安全,10.2.2 我国立法情况,目前网络安全方面的法规已经写入中华人民共和国宪法。于1982年8月23口写入中华人民共和国商标法,于1984年3月12日写入中华人民共和国专利法,于1988年9月5日写入中华人民共和国保守国家秘密法,于1993年9月2日写入中华人民共和国反不正当竞争法。网络安全方面的法规,已经增加了相关的条款到国家法律。为了加强对计算机犯罪的打击力度,在1997年对刑法进行重新订订时,加进了以下计算机犯罪的条款。,10章 网络管理与网络安全,第二百八十
13、五条违反国家规定,侵入国家事务,国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。第二百八十六条违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役,后果特别严重的,处五年以上有期徒刑。违反国家规定,对计算机信息系统中存储,处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。故意制作、传播计算机病毒等破坏性程序。影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。,10章 网络管理与网络安全,第二百八十七条利用计算机实施金融诈骗,盗窃、贪污、挪用公款
14、、窃取国家秘密或者其他犯罪的,依照本法有关规定定罪处罚。计算机网络安全方面的法规,已经写入国家条例和管理办法。于1991年6月4日写入计算机软件保护条例,于1994年2月18日写入中华人民共和国计算机信息系统安全保护条例,于1999年10月7 日写入商用密码管理条例,于2000年9月20日写入互联网信息服务管理办法,于2000年9月25日写入中华人民共和国电信条例,于2000年12月29日写入全国人大常委会关于网络安全和信息安全的决定。,10章 网络管理与网络安全,10.2.3 国际立法情况,美国和日本是计算机网络安全比较完善的国家机网络安全方面的法规还不够完善。一些发展中国家和第三世界国家的
15、计算机网络安全方面的法规还不完善。,10章 网络管理与网络安全,10.2.4 国际立法情况,欧洲共同体是一个在欧洲范围内具有较强影响力的政府间组织。为在共同体内正常地进行信息市场运作,该组织在诸多问题上建立了一系列法律,具体包括:竞争(反托拉斯)法,产品责任、商标和广告规定法,知识产权保护法,保护软件、数据和多媒体产品及在线版权法,以及数据保护法、跨境电子贸易法、税收法、司法等。这些法律若与其成员国原有国家法律相矛盾,则必须以共同体的法律为准。,返回本章首页,10章 网络管理与网络安全,10.3 黑客攻击的主要手段和网络安全控制技术,10.3.1 黑客攻击的主要手段 涉及网络安全的问题很多,但
16、最主要的问题还是人为攻击,黑客就是最具有代表性的一类群体。黑客在世界各地四处出击,寻找机会袭击网络,几乎到了无孔不入的地步。有不少黑客袭击网络时并不是怀有恶意,他们多数情况下只是为了表现和证实自己在计算机方面的天分与才华,但也有一些黑客的网络袭击行为是有意地对网络进行破坏。,10章 网络管理与网络安全,黑客(Hacker)指那些利用技术手段进入其权限以外计算机系统的人。在虚拟的网络世界里,活跃着这批特殊的人,他们是真正的程序员,有过人的才能和乐此不疲的创造欲。技术的进步给了他们充分表现自我的天地,同时也使计算机网络世界多了一份灾难,一般人们把他们称之为黑客(Hacker)或骇客(Cracker
17、),前者更多指的是具有反传统精神的程序员,后者更多指的是利用工具攻击别人的攻击者,具有明显贬义。但无论是黑客还是骇客,都是具备高超的计算机知识的人。,10章 网络管理与网络安全,1.口令入侵 所谓口令入侵是指使用某些合法用户的账号和口令登录到目的主机,然后再实施攻击。使用这种方法的前提是必须先得到该主机上的某个合法用户的账号,然后再进行合法用户口令的破译。,10章 网络管理与网络安全,2.放置特洛伊木马程序 在古希腊人同特洛伊人的战争期间,古希腊人佯装撤退并留下一只内部藏有士兵的巨大木马,特洛伊人大意中计,将木马拖人特洛伊城。夜晚木马中的希腊士兵出来与城外战士里应外合,攻破了特洛伊城,特洛伊木
18、马的名称也就由此而来。,10章 网络管理与网络安全,在计算机领域里,有一类特殊的程序,黑客通过它来远程控制别人的计算机,把这类程序称为特洛伊木马程序。从严格的定义来讲,凡是非法驻留在目标计算机里,在目标计算机系统启动的时候自动运行,并在目标计算机上执行一些事先约定的操作,比如窃取口令等,这类程序都可以称为特洛伊木马程序。,10章 网络管理与网络安全,特洛伊木马程序一般分为服务器端(Server)和客户端(Client)服务器端是攻击者传到目标机器上的部分,用来在目标机上监听等待客户端连接过来。客户端是用来控制目标机器的部分,放在攻击者的机器上。,10章 网络管理与网络安全,特洛伊木马程序常被伪
19、装成工具程序或游戏,一旦用户打开了带有特洛伊木马程序的邮件附件或从网上直接下载,或执行了这些程序之后,当用户连接到因特网上时,这个程序就会把用户的IP地址及被预先设定的端口通知黑客。黑客在收到这些资料后,再利用这个潜伏其中的程序,就可以恣意修改用户的计算机设定,复制文件,窥视用户整个硬盘内的资料等,从而达到控制用户计算机的目的。现在有许多这样的程序,国外的此类软件有BackOriffice、Netbus等,国内的此类软件有Netspy、冰河、广外女生等。,10章 网络管理与网络安全,3.DoS攻击 DoS是Denial of Service的简称,即拒绝服务,造成DoS的攻击行为被称为DoS攻
20、击,其目的是使计算机或网络无法提供正常的服务。最常见的DoS攻击有计算机网络带宽攻击和连通性攻击。带宽攻击指以极大的通信量冲击网络,使得所有可用网络资源都被消耗殆尽,最后导致合法的用户请求无法通过。连通性攻击是指用大量的连接请求冲击计算机,使得所有可用的操作系统资源都被消耗殆尽,最终计算机无法再处理合法用户的请求。,10章 网络管理与网络安全,分布式拒绝服务(DDoS,DistributedDentalofService)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务攻击的威力。通常,攻击者使用一个偷窃账号将DDoS主控程
21、序安装在一个计算机上,在一个设定的时间主控程序将与大量代理程序通信,代理程序已经被安装在因特网上的许多计算机上。代理程序收到指令时就发动攻击。利用客户/服务器技术,主控程序能在几秒钟内激活成百上千次代理程序的运行。,10章 网络管理与网络安全,4.端口扫描 所谓端口扫描,就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等。常用的扫描方式有:TCP connect()扫描、TCP SYN扫描、TCPFIN扫描、IP段扫描和FTP返回攻击等。,10章 网络管理与网络安全,扫
22、描器是一种自动捡测远程或本地主机安全性弱点的程序,通过使用扫描器可以不留痕迹的发现远程服务器的各种TCP端口的分配及提供的服务和它们的软件版本。扫描器并不是一个直接的攻击网络漏洞的程序,它仅能发现目标主机的某些内在的弱点。,10章 网络管理与网络安全,一个好的扫描器能对它得到的数据进行分析,帮助用户查找目标主机的漏洞。但它不会提供进入一个系统的详细步骤。扫描器应该有3项功能;发现一个主机或网络的能力;一旦发现一台主机,有发现什么服务正运行在这台主机上的能力;通过测试这些服务,发现漏洞的能力。,10章 网络管理与网络安全,5.网络监听 网络监听,在网络安全上一直是一个比较敏感的话题,作为一种发展
23、比较成熟的技术,监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作术,因而一直备受网络管理员的青眯。然而,在另一方面网络监听也给以太网的安全带来了极大的隐患,许多的网络入侵往往都伴随着以太网内的网络监听行为,从而造成口令失窃、敏感数据被截获等连锁性安全事件。,10章 网络管理与网络安全,网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具就可轻而易举地截取包括口令和账号在内的信息资料。Sniffer是一个著名的监听工具,它可以监听
24、到网上传输的所有信息。,10章 网络管理与网络安全,6.欺骗攻击 欺骗攻击是攻击者创造一个易于误解的环境,以诱使受攻击者进入并且做出缺乏安全考虑的决策。欺骗攻击就像是一场虚拟游戏:攻击者在受攻击者的周围建立起一个错误但是令人信服的世界。如果该虚拟世界是真实的话,那么受攻击者所做的一切都是无可厚非的。但遗憾的是,在错误的世界中似乎是合理的活动可能会在现实的世界中导致灾难性的后果。常见的欺骗攻击有:,10章 网络管理与网络安全,(1)Web欺骗。Web欺骗允许攻击者创造整个WWW世界的影像复制。影像Web的入口进入到攻击者的Web服务器,经过攻击者机器的过滤作用,允许攻击者监控受攻击者的任何活动,
25、包括账户和口令。攻击者也能以受攻击者的名义将错误或者易于误解的数据发送到真正的Web服务器,以及以任何Web服务器的名义发送数据给受攻击者。,10章 网络管理与网络安全,(2)ARP欺骗。通常源主机在发送一个IP包之前,它要到该转换表中寻找和Iy包对应的MAC地址。此时,若入侵者强制目的主机Down掉(比如发洪水包),同时把自己主机的IP地址改为合法目的主机的IP地址,然后他发一个ping(iempo)给源主机,要求更新主机的ARP转换表,主机找到该IP,然后在ARP表中加入新的IP与MAC对应关系。合法的目的主机失效了,入侵主机的MAC地址变成了合法的MAC地址。,10章 网络管理与网络安全
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 教学课件 教学 课件 10 网络 管理 网络安全
链接地址:https://www.31ppt.com/p-5657675.html